发布日期：2003-02-04
更新日期：2003-02-13

受影响系统：

Finjan Software SurfinGate 5.6
Finjan Software SurfinShield Corporate

不受影响系统：

Finjan Software SurfinGate 6.05
Finjan Software SurfinGate 6.01
Finjan Software SurfinGate 6.0
Finjan Software SurfinShield Corporate 5.7

描述：

---

BUGTRAQ  ID: 6701

SurfinGate可以抵御Java、ActiveX、Jscript、VBScript、插件、cookie 和其他可下载活动的攻击，提供特有的智能化内容监测技术使安全管理员可以为实际需要的可下载applet 和control 提供准入权限，同时防止恶意的网络组件进入系统。

SurfinGate active内容过滤器包含的JavaScript解析器存在设计缺陷，远程攻击者可以利用这个漏洞构建包含恶意Javascript代码的WEB页面，诱使用户点击，可能在用户浏览器上执行任意脚本代码。

攻击者如果使用十六进制编码对恶意Javascript进行编码，然后传递给某个函数对字符串进行解码(如通过eval()方法)，就可以绕过SurfinGate active内容过滤器包含的JavaScript解析器的检查分析，导致恶意脚本代码在用户浏览器上执行。

<*来源：Compass Security
  
  链接：http://www.csnc.ch/downloads/docs/techdocs/FinjanSurfinGate_Analysis_CSNC_V3.0.pdf
*>

建议：

---

厂商补丁：

Finjan Software
---------------
SurfinGate 5.7及之后的版本已经修正此问题，建议用户采用，请到厂商的主页下载：

http://www.finjan.com/products/surfingate.cfm

浏览次数：2671
严重程度：0（网友投票）